ALERTA INTEGRADA DE Fecha: 19-06-2020

SEGURIDAD DIGITAL N° 103

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de Alerta
Tipo de Ataque
Medio de Propagación
Código de familia
Clasificación temática familia
Detección del Malware Ginp
Malware Abreviatura Malware
USB, Disco, Red, Correo, Navegación de Internet
C Código de Subfamilia C03
Código malicioso
Descripción

1. El 19 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, a
través de la cuenta de twitter de ESET España, se viene alertando sobre el Troyano bancario Ginp, el cual se
viene distribuyendo por webs fraudulentas que, suplantan la identidad de la Universidad Carlos III de Madrid-
España, con la finalidad del robo de datos personales de los usuarios desprevenidos que pueden caer en la
trampa de comprometer la seguridad de sus dispositivos.

 Se han identificado dominios maliciosos que viene propagando la app

MediaPlayer[.]apk

o Imágenes:

Sitio Web Oficial Sitio Web Fraudulenta

Dominio Propagación de la
Malicioso app
MediaPlayer[.]apk
 o Indicadores de Compromiso:

 Dominios Fraudulentos:

 joingoing40[.]xyz

 folohulabiz[.]xyz

 APK.
 Nombre: MediaPlayer[.]apk
 Paquete: jtlefdggbncmigheulzdtww[.]tpajzhibjhzpbuchkmbhaf.lalzeji
 Tamaño: 1.91 MB
 MD5: 69c2432ad4a7e697200fffc25b8171fd
 SHA-1: 6fe1b489f7550c7bc4a406ed3ecf440342e324fc
 SHA-256: 8a582f0c5ed2d09178e371c5a452906565c50f32d7395ad6a87c78f4fa9db566

2. Algunas Recomendaciones:

 No otorgues a las aplicaciones permisos que no sean necesarios para las funciones que realiza.
 Instala en tu móvil un antivirus eficaz contra las amenazas ocultas.
 Descarga solamente aplicaciones de Google Play
 Si algún sitio web te produce desconfianza, no introduzcas contraseñas ni datos bancarios por muy
buena que parezca la oferta.

Fuente de Información https://twitter.com/ESET_ES/status/1273995565538463747

 ALERTA INTEGRADA DE Fecha: 20-06-2020
SEGURIDAD DIGITAL N° 104

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de Alerta
Tipo de Ataque
Medio de Propagación
Código de familia
Clasificación temática familia
Detección del Malware en campaña de Spam
Malware Abreviatura Malware
USB, Disco, Red, Correo, Navegación de Internet
C Código de Subfamilia C03
Código malicioso
Descripción

1. El 20 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en
el sitio web IBM, se informa que se viene llevando a cabo una campaña de spam, el cual tiene la finalidad de la
distribución de Malware. Los correos electrónicos fueron detectados en Brasil, el cual tiene como asunto “Auxilio
Emergencial”

 La campaña de Spam viene con una URL incrustada:

o hxxp://www.grupolattanzi.com/update?acompanhamento-validacao
 El mensaje Spam, contiene el archivo 0023GSVDTPLPRV[.]Zip
 El archivo. Zip consta de un archivo .msi llamado "0023GSVDTPLPRV"
 El mencionado .msi instala HD Audio Background Process, pero al consultar Virustotal es un troyano,
probablemente parte de una campaña de malware bancario brasileño.

 Demostración:
 o Indicadores de Compromiso:
hxxp://www.grupolattanzi[.]com/update?acompanhamento[-]validacao

hxxp://pocket[.]is-a-blogger[.]com/detalhe[.]zip

MD5:
 c4f9bdcef51c87676e28b3eccbdc6189
 e8b6b97c927934a6292cb10b6cbdf6c3
 4d78196e5a0ebafc8a4bd89a1c48a9ea
 58943957c1640e64b5d8ced869761c3c
 53bff1efe2f5e71a77ec268e8986583
 3f43374d0862425c4894da8a4ea9c7f2
 Malware:
 Nombre: 7zS.sfx.exe
 MD5: 3f43374d0862425c4894da8a4ea9c7f2
 SHA-1: 7b6fd6ad2a57578b2012108880bf89afd315ea9c
 SHA-256: 5066020c9801057b9e6e6e5ced5ef8d35854cb58118e4aae55d7d3b532ebcecd

2. Algunas Recomendaciones:

 No abras correos electrónicos desconocidos.

 No ejecutes archivos adjuntos.
 Verifica el email remitente en el buscador de google
 Mantenga sus herramientas de protección actualizadas.
 Si algún sitio web te produce desconfianza, no introduzcas contraseñas ni datos bancarios por muy
buena que parezca la oferta.

Fuente de Información https://Ibm.com

 ALERTA INTEGRADA DE Fecha: 20-06-2020
SEGURIDAD DIGITAL N° 105

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de Alerta Malware Trojan.OSX.Shlayer camuflado en instaladores de Adobe Flash Player
Tipo de Ataque Malware Abreviatura Malware
Medio de Propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C03
Clasificación temática familia Código malicioso
Descripción

1. El 20 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que,
en el sitio web hispasec.com, se informa sobre la detección de una variante del Malware Trojan.OSX.Shlayer,
el cual viene camuflado en instaladores de Adobe Flash Player y que utiliza los resultados de búsqueda de
Google para su propagación.

 Una vez descargado y ejecutado en la máquina de la víctima, el malware muestra un instalador de Adobe
Flash Player fraudulento que da instrucciones al usuario sobre cómo instalarlo. Si la víctima sigue las
instrucciones, un script en «bash» volcará la carga maliciosa en la máquina. Además, para evitar la
detección, se ocultarán todos los ficheros generados en este proceso. Todos menos el instalador de Flash
Player firmado por Adobe, de manera que evita las sospechas a la víctima.

 Cuando el Malware ya está implantado en el sistema, los atacantes tienen la capacidad de descargar
Malware adicional o ejecutar campañas de adware desde sus servidores de control y comando.

 Como mecanismo de propagación, los atacantes han usado técnicas de SEO que colocan los enlaces de
descarga maliciosos en los primeros resultados de búsqueda. Para ello utilizan los títulos exactos de
vídeos de YouTube populares para colocar sus enlaces entre los primeros resultados. La víctima que visite
estos enlaces llegará a través de numerosas redirecciones a la descarga del software malicioso.

 Para saltar las protecciones incluidas en el sistema, muchos atacantes utilizan cuentas de desarrollador
de Apple (propias o robadas) para poder firmar su software. Sin embargo, los desarrolladores de esta
nueva variante utilizan ingeniería social para que sea el usuario el que desactive la protección instalando
la aplicación con el botón derecho.

 Imágenes:

1 2
 o Indicadores de Compromiso:

 flashInstaller.dmg
d49ee2850277170d6dc7ef5f218b0697683ffd7cc66bd1a55867c4d4de2ab2fb
97ef25ad5ffaf69a74f8678665179b917007c51b5b69d968ffd9edbfdf986ba0
 Archivo Analizado:
flashInstaller.dmg
Tipo de Archivo: Imagen de disco de Macintosh
Tamaño: 260.01 KB (266246 bytes)
Ultimo Envió: 12-06-2020
MD5:c87784c532b5fd113354bb83d80dd5ec
SHA-1:291e7ae52dfc17c8d73ab36bd615c1dacd9f2851

 flashInstaller
86561207a7ebeb29771666bdc6469d81f9fc9f57eedda4f813ca3047b8162cfb
2c2c611965f7b9c8e3524a77da9b2ebedf1b7705e6276140cffe2c848bff9113
 Archivo Analizado:
Nombre: flashInstaller
Tipo: Shell script (ejecutable)
Tamaño: 119.53 KB (122403 bytes)

 flashInstaller.zip
3cd3f207a0f2ba512a768ce5ea939c1aed812f6c8f185c1838bfc98ffd9b006e
bdbfefab84527b868eb073ece6eff6f5b83dc8d9ed33fe0a824ffee3b9f47b6e

2. Algunas Recomendaciones:

 No abras correos electrónicos desconocidos.

 No ejecutes archivos adjuntos.
 Verifica el email remitente en el buscador de google
 Mantenga sus herramientas de protección actualizadas.
 Si algún sitio web te produce desconfianza, no introduzcas contraseñas ni datos bancarios por muy
buena que parezca la oferta.

https://unaaldia.hispasec.com/2020/06/nueva-familia-de-malware-para-macos-
Fuente de Información
utiliza-los-resultados-de-busquedas-en-google-para-su-propagacion.html